NetWorker. Интеграция внешней аутентификации AD или LDAP — поиск и устранение проблем со входом или отсутствием информации

Сводка: В этой статье рассматриваются проблемы, возникающие из-за неправильной интеграции AD или LDAP (Lightweight Directory Access Protocol) с NetWorker, и способы их решения.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Симптомы

  • Не удается войти в пользовательский интерфейс NetWorker.
  • nsrlogin Завершается сбоем или возвращает ошибку.
  • Проверка подлинности NetWorker выполняется успешно, но пользовательские интерфейсы неправильно представляют данные.
  • Запросы AD или LDAP не дают результатов.
  • AD или LDAP возвращает неполные ответы.

Причина

Active Directory (AD) или Lightweight Directory Access Protocol (LDAP) — это корпоративные реализации централизованно управляемой, оперативно распределенной проверки подлинности сетевых объектов.

NetWorker может использовать этот протокол для аутентификации пользователей и авторизации операций, заменяя старый метод, основанный на базе данных учетных записей пользователей для конкретного программного обеспечения.

Однако неправильные или отсутствующие параметры конфигурации в NetWorker приводят к тому, что запросы AD или LDAP возвращают неполные результаты или вообще не возвращают их.

Разрешение

При устранении проблем интеграции AD или LDAP с NetWorker используйте команду authc_config и authc_mgmt на сервере NetWorker.

Примеры этих команд приведены ниже. Чтобы просмотреть все доступные параметры, выполните каждую команду без дополнительных аргументов.

Как найти и обновить сведения о конфигурации.

Выполните следующие команды для вывода сведений о конфигурации, используя имя пользователя и пароль, соответствующие возникшей проблеме:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

ПРИМЕЧАНИЕ. В некоторых системах указание паролей в виде обычного текста приводит к ошибке неверного пароля . Повторно выполните команду, не используя -p password запрашивает ввод пароля. Замените # в третьей команде на config-id , о котором сообщила первая команда.

Значение и имя клиента используются в некоторых из следующих команд.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
В приведенном выше примере показаны параметры конфигурации, используемые в рабочей лабораторной среде с внешней проверкой подлинности Active Directory. Некоторые значения, такие как: адрес сервера, пользователь конфигурации и пути поиска пользователей или групп, специфичны для каждой среды; однако остальные значения являются атрибутами AD по умолчанию.
 
Чтобы исправить неправильные значения, обновите внешний ресурс центра сертификации с помощью консоли управления NetWorker Management Console (NMC) или веб-интерфейса пользователя NetWorker (NWUI):
 
При необходимости можно использовать шаблоны скриптов:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Линукс: /opt/nsr/authc-server/scripts/
 
Заполните сценарии своей информацией и измените -e add-config command в -e update-config.
NetWorker. Настройка LDAP/AD с помощью сценариев authc_config
 
ПРИМЕЧАНИЕ: для AD используйте authc-create-ad-config а для LDAP используйте authc-create-ldap-config Шаблон сценария. После заполнения удалите .template с помощью имени файла и запустите сценарий из командной строки с правами администратора или root.

Вопрос 1: Неверный атрибут идентификатора пользователя для конфигурации

Неправильное значение в этом поле приводит к пустому столбцу «Имя пользователя » при запросе пользователей AD или LDAP. В этом столбце отображается способ указания имени пользователя для входа в систему. Если значение не указано, счет будет считаться недействительным. Чтобы получить эти значения, выполните команду:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
ПРИМЕЧАНИЕ. Столбец «User Name » остается пустым. Уникальный идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD, обычноназывается uid (LDAP) или sAMAccountName (AD). Обновление этого значения в конфигурации исправляет имя пользователя, указанное в столбце User Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Проблема 2. Настройка класса объекта пользователя пуста или неверна.

Неправильное значение в этом поле приводит к тому, что при запросе пользователей AD или LDAP результаты не возвращаются. Используйте эти команды для проверки этого признака и причины:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Атрибутом класса объекта, который идентифицирует пользователей в иерархии каталогов, обычноявляется inetOrgPerson (LDAP) или user (AD). 

Обновите конфигурацию, используя эти значения, и убедитесь, что имя пользователя и различающиеся имена (DN) сообщаются правильно: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Еще одной потенциальной причиной отсутствия пользователей является неправильный путь поиска для конфигурации . Это отличительное имя, указывающее путь поиска, который служба проверки подлинности должна использовать при поиске пользователей в иерархии LDAP или AD. Укажите путь для поиска относительно базового DN, указанного в параметре config-serveraddress . Например, для AD укажите cn=users. При помощи администратора каталогов убедитесь в правильности этого поля.
 

Вопрос 3. Атрибут имени группы настройкипуст или неверен.

Неправильное значение в этом поле приводит к пустому столбцу «Имя группы » при запросе групп AD или LDAP для пользователя. Следующие команды проверяют наличие признаков и причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Отсутствует атрибут, определяющий имя группы (например, cn). Обновите конфигурацию с помощью этих значений и убедитесь, что имена групп теперь указаны в столбце Имя группы . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Проблема 4. Класс объекта группы настроек пуст или неверен

Неправильное значение в этом поле приводит к тому, что при запросе группы AD или LDAP для пользователя результаты не возвращаются. Используйте эти команды для проверки признаков и причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Атрибут класса объекта, который идентифицирует группы в иерархии каталогов, называется groupOfUniqueNames (LDAP) или groupOfNames (AD). Для AD используйте group
 
Обновите конфигурацию с помощью этих значений. Теперь в списке должны отображаться имена групп и различающиеся домены групп: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Другие потенциальные причины отсутствия групп:
  1. Пользователь AD, указанный в поле authc_mgmt не входит в группу AD. Проверьте другие имена пользователей и уточните у администратора AD членство пользователя или группы.
  2. Неверное значение пути поиска группы конфигурации. Это отличительное имя, указывающее путь поиска, который служба проверки подлинности должна использовать при поиске групп в иерархии каталогов. Укажите путь для поиска относительно базового DN, указанного в параметре config-server-address .

Дополнительная информация

NetWorker. Руководство по интеграции AD и LDAP и рассмотрению конфигураций

Методы, подробно описывающие настройку AD, LDAP, LDAPS с помощью NetWorker:

Дополнительную документацию см. в руководстве по настройке безопасности NetWorker, доступном на сайте: https://www.dell.com/support/home/product-support/product/networker/docs
 

Затронутые продукты

NetWorker

Продукты

NetWorker, NetWorker Management Console
Свойства статьи
Номер статьи: 000057044
Тип статьи: Solution
Последнее изменение: 12 Jun 2025
Версия:  4
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.